首页 > 新闻动态> 数据出境合规评估解读、应用场景与实施流程
数据出境合规评估解读、应用场景与实施流程
2024-01-12

一、数据出境合规评估的定义

数据出境合规评估是指对数据在跨境传输或存储过程中可能涉及的法律法规风险进行分析和评估的活动。数据出境合规评估的目的是保护数据的安全和隐私,避免数据泄露、滥用或侵权,同时符合数据所在国和目的国的相关法律法规要求。

数据出境合规评估


二、数据出境合规评估内容

主要包括以下几个方面:

(1)必要性和合理性:评估出境的目的、范围、方式和期限,以及是否符合业务需求和数据主体的意愿。

(2)安全性和可控性:评估出境的安全措施和风险防范机制,以及数据出境后的管理和监督措施。

(3)合法性和合规性:评估出境是否遵守数据所在国和目的国的相关法律法规,以及是否涉及敏感数据或重要数据,是否需要取得数据主体的同意或相关部门的批准。

具体服务内容如下:

1.数据出境风险自评估

协助企业按照《数据出境安全评估办法》的要求进行风险自评估。

采用符合监管的特定评估模板,自动生成《数据出境安全风险自评估报告》。

可用于指导企业出具满足国家网信部门数据出境安全评估申报要求的报告,辅助企业在申报环节进行高效成果输出。

2.协助进行个人信息保护影响评估(如需)

协助企业针对拟进行的个人信息跨境传输活动,开展个人信息保护影响评估,满足数据出境安全评估的材料要求。

3.协助制定与境外接收方的数据跨境传输文件

协助企业制定符合《数据出境安全评估办法》要求的,与境外接收方之间关于出境事项的有效法律文件。

4.事项协助申报

协助企业准备需向省网信部门提交的数据出境安全评估申报材料并提交。

5.复评协助

对国家网信部门出具的数据出境安全评估结果存有异议的,将协助企业准备相关材料向国家网信部门申请复评。


三、数据出境法律法规要求

指数据在跨境传输或存储时需要遵守的相关法律法规规定。法律法规要求的内容和程度因国家和地区而异,一般包括以下几个方面:

(1)许可和备案:某些国家和地区对数据出境有严格的限制或禁止,需要数据出口方或数据进口方在出境前向相关部门申请许可或进行备案。

(2)通知和同意:某些国家和地区要求数据出口方或数据进口方在数据出境前向数据主体或相关方提供数据出境的通知,并取得其明确的同意或授权。

(3)保护和责任:某些国家和地区要求数据出口方或数据进口方在数据出境后保障数据的安全和隐私,遵守数据目的国的法律法规,承担出境可能导致的法律责任或风险。

我国数据出境活动应当遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,以及《数据出境安全评估办法》、《个人信息出境标准合同办法》等规范性文件。


四、数据出境合规评估应用场景

可以根据出境的主体、对象、方式和目的进行分类,例如:

(1)主体:可以是数据的拥有者、处理者、使用者或提供者,如企业、政府、个人、机构等。

(2)对象:可以是数据的内容、类型、格式或属性,如个人信息、商业秘密、金融数据、医疗数据等。

(3)方式:可以是数据的传输、存储、处理或使用,如互联网、电子邮件、云计算、大数据分析等。

(3)目的:可以是数据的共享、交换、合作或利用,如市场调研、产品开发、业务拓展、风险管理等。

具体场景如下:

(1)数据处理者向境外提供重要数据;

(2)关键信息基础设施运营者向境外提供个人信息;

(3)处理100万人以上个人信息的数据处理者向境外提供个人信息;

(4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。


五、实施流程

1.调研实施

(1)数据出境和境外接收方处理 数据的目的、范围、方式。

(2)出境数据的规模、范围、种类、敏感程度。

(3)境外接收方履行责任义务的管理和技术措施、能力。

(4)个人信息权益维护的渠道。

(5)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件。

2.合规差距分析

(1)法律符合性分析

(2)数据出境过程中可能产生的风险

(3)数据安全事件发生的可能性

(4)个人权益影响程度分析

3.问题整改

协助企业制定改进措施,从源头上避免问题再次发生。

4.报告出具

按照数据出境风险自评估结果以及个人信息保护影响评估结果,协助企业出具数据出境风险自评估报告和个人信息保护影响评估报告

5.协助申报

准备包括申报书、数据出境风险自评估报告等在内的安全评估申报材料,经省级网信部门递交至国家网信部门进行预审批


六、交付物

1.数据出境情:况调研阶段

(1)项目前期准备:《项目成员清单》、《项目范围书》、《实施计划安排表》

(2)法律合规地图:《数据出境合规义务清单》

(3)数据流映射:《出境数据流映射图》、《出境业务流映射图》

2.数据出境:评估及优化阶段

(1)数据出境风险评估、个人信息保护影响评估:《数据出境风险评估尽调清单》、《数据出境风险评估访谈清单》、《个人信息保护影响评估尽调清单》、《个人信息保护影响评估访谈清单》

(2)识别合规差距、提供合规优化建议:《出境数据流映射图》、《出境业务流映射图》

3.协助数据:评估及优化阶段

(1)申报材料:《数据出境风险评估报告》、《数据出境安全评估申报书》

(2)申报材料:补充或更正数据出境申报材料

(3)安全评估:补充或更正数据出境申报材料

(4)复评 (如需):数据出境安全评估申请复评资料


七、价值和意义

价值和意义是指对数据出境的主体和对象、数据所在国和目的国、数据的安全和隐私等方面的积极影响和作用。数主要包括以下几个方面:

(1)促进数据的合法和合规使用:可以帮助主体和对象了解和遵守数据所在国和目的国的相关法律法规,避免数据出境的违法和违规行为,保障数据的合法和合规使用。

(2)保护数据的安全和隐私:可以帮助主体和对象采取有效的安全措施和风险防范机制,防止数据出境的泄露、滥用或侵权,保护数据的安全和隐私。

(3)促进数据的价值和效益:可以帮助主体和对象评估数据出境的必要性和合理性,优化数据出境的方式和目的,提高数据出境的价值和效益。

(4)促进数据的跨境流动和合作:可以帮助主体和对象建立和维护数据出境的信任和合作,促进数据的跨境流动和合作,推动数据的全球化和开放化。